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(57) Abstract 

The invention relates to a method for signing a message. A control centre and the receiver have a permanent mutual master key. The 
control centre first provides a sequential number and, based thereupon, provides a signature key by means of a one-way function. Said 
number and said key are provided to the transmitter in a protected manner. The transmitter produces a signature of the message by means of 
the signature key and sends the signature, the sequential number and the message to the receiver. The receiver produces an authentication 
key by means of the one-way function, the master key and the sequential number and authenticates the signature of the message therewith. 



(57) Zusammenfassung 

Verfahren zur Signiemng ciner Nachricht, wobei eine Zentralc und der Empfanger einen permanenten gemeinsamen Hauptschlussel 
naben. Die Zentrale erzeugt vorab eine Sequenzzahl und aus dieser mittels einer Einwegfunktion einen SignierschlUssel. Beides winl 
gesichert dem Absender bereitgestellL Der Absender bildet mittels des SignierschlQssels eine Signatur der Nachricht und sendet sie mit 
Sequenzzahl und Nachricht an den Empfanger. Der Empfanger bildet mittels Einwegfunktion, Hauptschliissel und Sequenzzahl einen 
PrufschlQssel und pruft damit die Signatur der Nachricht 
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Signierung und Singnaturpruf ung von Nachrichten 



Technisches Gebiet 



Die Erfindung betrifft die Signierung und Singnaturpriif ung 
von Nachrichten unter Verwendung geheimer Schliissel. 

5 Stand der Technik 

Fiir die Falschungssicherung von Nachrichten ist bekannt, 
dafi mit Hilfe von symmetrischer Kryptographie eine Signatur 
gebildet wird, mittels derer der Empf anger mit sehr hoher 
Wahrsqheinlichkeit priifen kann, ob die Nachricht unver- 
10 f alscht iibermittelt wurde und von dem vorgegebenen Absender 
stammt . Voraussetzung ist jedoch, daS Absender und Empf an- 
ger fiber einen gemeinsamen geheimen Schliissel verfugen, der 
sicher gespeichert sein mufi. Ein solches Verfahren ist bei- 
spielsweise in der Patenschrift US 4,549,075 beschrieben. 

is Symmetrische Kryptographie, insbesondere das DES -Verfahren, 
wird haufig in Chipkarten eingesetzt, weil es sehr effizi- 
ent programmierbar ist . Die Chipkarten weisen f erner einen 
Permanent speicher auf , in dem ein Hauptschliissel sicher ge- 
heim gespeichert ist, der auch in einer Zentrale sicher ge- 

20 speichert ist . 

Soil nun eine Nachricht f alschungsgesichert von einem Ab- 
sender an den Empf anger, hier die Chipkarte, gesendet wer- 
den, so mufi bislang der Absender die Nachricht von der Zen- 
trale signieren lassen, da die Zentrale den geheimen Haupt- 
25 schliissel nicht dem Absender zur Verfiigung stellen kann, 
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ohne das Gesamt system zu schwachen. Zudem sind Mafinahmen 
notwendig, damit die Nachricht bei der Ubertragung von dem 
Absender zur Hauptstelle gegen Verfalschung und Vortau- 
schung eines legitimen Absenders geschiitzt ist . 

Aufgabe der Erfindung ist es daher, ein Verfahren zur Fal- 
schungssicherung von Nachrichten durch eine Signatur anzu- 
geben, die von einem Absender gebildet und zu einem Empf an- 
ger gesendet werden kann, ohne dafi der Absender iiber den 
geheimen Hauptschliissel verfiigt, den der Empf anger und eine 
Zentrale gemeinsam haben, oder die Nachricht zuvor zu der 
Zentrale zwecks Signaturbildung gesendet werden mufi. 

Darstellung der Erfindung 

Die Erfindung benutzt ein Verfahren, bei dem die Zentrale 
Signierschlussel vorab bildet und dem Absender bereit- 
stellt. Der Empf anger kann, wie genauer in den Ausfiihrungs- 
beispielen beschrieben wird, den Signierschlussel nachbil- 
den und damit die Nachricht priifen. 

Es handelt sich um ein Verfahren zur Signierung einer Nach- 
richt, wobei eine Zentrale und der Empf anger einen perma- 
nenten gemeinsamen Hauptschliissel haben. Die Zentrale er- 
zeugt vorab eine Sequenzzahl und aus dieser mittels einer 
Einwegfunktion einen Signierschlussel. Beides wird gesi- 
chert dem Absender bereitstellt . Der Absender bildet mit- 
tels des Signierschliissels eine Signatur der Nachricht und 
sendet sie mit Sequenzzahl und Nachricht an den Empf anger. 
Der Empf anger bildet mittels Einwegfunktion, Hauptschliissel 
und Sequenzzahl einen Priif schliissel und priift damit die Si- 
gnatur der Nachricht . 
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Weitere Merkmale und Vorteile der Erfindung ergeben sich 
aus der folgenden Beschreibung, welche in Verbindung mit 
den beigefiigten Zeichnung die Erfindung an Hand eines Aus- 
fiihrungsbeispiels erlautert. 



Beschreibung mindestens einer Aus fiihrungs form mindestens 
10 der Erfindung 

In Fig. 1 sind die drei Teilnehmer an dem Verf ahren, nam- 
lich die Zentrale 10, der Absender 20 und der Empf anger 30, 
durch punktstrichlierte Linien getrennt, angedeutet . 

Die Zentrale 10 enthalt einen gesicherten Speicher 11 fur 
is einen geheimen Schliissel, der ansonsten beispielsweise in 
einem symmetrischen kryptographischen Verschliiss lungs- oder 
Signierverf ahren verwendet wird. Der Empf anger 3 0 enthalt 
einen entsprechenden Speicher 11* , der denselben Schliissel 
enthalt. Das Einschreiben dieses Schlussels erfolgt bei- 
20 spielsweise in der Zentrale bei der Initialisierung, wenn 
es sich bei dem Empf anger 3 0 urn eine Chipkarte handelt . An- 
dernfalls sind aus der Kryptographie bekannte Schliisselver- 
tei lungs verf ahren anzuwenden. Dabei wird der Schliissel nur 
einmal oder in sehr groSen Zeitabstanden gespeichert; fiir 
25 das Verfahren nach der Erfindung ist die Speicherung als 
permanent anzusehen . 



s Kurzbeschreibung der Zeichnung 



Es zeigt 



Fig. 1 



ein Diagramm, in dem der Datenflufi mit den betei- 
ligten Komponenten symbolisiert ist. 
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Die Zentrale 10 enthalt f erner einen Sequenzgenerator 12 . 
Dieser liefert eine Reihe von jeweils unterschiedlichen 
Zahlen. Im einfachsten Fall ist dies eine fortlaufende Num- 
mer. Besser ist jedoch die Verwendung eines bekannten Pseu- 
do-Zuf allszahlengenerators , z.B. nach der Modulo -Me thode . 
Bei richtiger Wahl der Parameter liefern diese Pseudo- 
Zuf allszahlen-Generatoren eine Folge von jeweils neuen Zah- 
len, bis der durch den Modulus bestimmte Zyklus durchlaufen 
ist. Auch konnen absteigende Nummern oder solche mit einer 
Schrittweite grofier als Eins verwendet werden. Gleichfalls 
moglich ist die Verwendung von Datum und Uhrzeit als ein- 
deutig Sequenznutnmer, gegebenenf alls als Zahl der Sekunden 
seit einem verabredeten Beginn. 

Die Zentrale erzeugt also ein oder mehrere Sequenznummern 
12 . Aus einer solchen Sequenznummer 12 wird mittels des 
Hauptschlussels durch einen Einweg-Verschliissler 13 ein Si- 
gnierschlxissel 14 gebildet . Dies geschieht am einfachsten, 
indem die Sequenznummer 12 mittels des Hauptschliissels ver- 
schliisselt wird. Hierbei wird eine kurze Sequenznummer 
durch weitere Daten auf die Blocklange des Verschliisslungs- 
verfahrens aufgefiillt. Zwar sind hierzu binare Nullen ver- 
wendbar; besser ist eine Funktion der Sequenznummer, z.B. 
deren Quadrat- Auch moglich ist ein konstanter Text, der 
nicht aus binaren Nullen besteht und vertraulich gehalten 
wird. Da meist die Blockgr6£e in der Grofienordnung der 
Schliissellange liegt, ist das Ergebnis als Schliissel wei- 
terverwendbar; gegebenfalls sind Bits aufzufiillen oder 
durch Faltung die Bit zahl zu reduzieren. 

Wesentliche Eigenschaft des Einweg-Verschliisslers ist es, 
daS ein RiickschluB auf den Hauptschliissel praktisch nicht 
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moglich ist . Obwohl die soeben beschriebene Methode keine 
Einweg- Verschliisslung ist, weil z.B. der Empf anger durch 
Dechif f iriern aus dem Signierschliissel die Sequenzzahl bil- 
den konnte, ist die "Einweg" -Funktionalitat wesentlich. 

/ 

5 Daher werden in anderen Ausf iihrungsf ormen andere Einweg - 
Funktion verwendet # die Hauptschliissel und Sequenznummer 
reproduzierbar zu einem Signierschliissel verkniipfen, ohne 
dafi jemand ohne den Hauptschliissel zu einer gegebenen Se- 
quenznummer einen giiltigen Signierschliissel bzw. umgekehrt 

10 bilden Oder aus dem Signierschliissel und der Sequenznummer 
den Hauptschliissel bestimmen kann. Solche Verfahren werden 
allgemein als "Message Authentication Codes" (MAC) bezeich- 
net . Ein solcher kann insbesondere durch eine beliebige, 
kryptographisch sichere Einweg- Funkt ion auf eine Kombinati- 

15 on von Hauptschliissel und Sequenznummer gebildet werden. 
Als Kombination sind u.a. Konkatenation, Exklusiv-Oder , 
Multiplikation mit oder ohne Modulobildung, Addition mog- 
lich. 

Die Zentrale 10 stellt also ein oder mehrere Paare von Se- 
20 quenznummer 12 und daraus erzeugtem Signierschliissel 14 be- 
reit. Dies kann z.B. Ausdrucken auf Sicherheitspapier , 
durch Einspeichern in eine weitere Chipkarte oder durch 
sonstige gesicherte Dateniibermittlung geschehen. Diese Paa- 
re werden dem Absender 2 0 vorab zur Verfugung gestellt und 
25 miissen von diesem gesichert und vertraulich gespeichert 
werden . 

Der Absender 20, der eine Nachricht 21 an den Empf anger 3 0 
senden mochte, entnimmt ein Paar von Sequenznummer 12 und 
Signierschliissel 14 und bestimmt die Signatur der Nachricht 
30 21 mittels des Signieres 24. Bevorzugt wird auch hierbei 
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das DES-Verf ahren, z.B. nach ANSI X9.9 # verwendet . Alterna- 
tiv kann eine Signatur durch eine Kotnbination einer krypto- 
graphischen Hash- Ftinkt ion mit einem "message authentication 
code" erzeugt werden. Verf ahren hierzu sind in der krypto- 
graphischen Literatur vielfach und ausfuhrlich beschrieben. 

Sodann bildet der Absender eine Datensatz 22, der drei Fel- 
der mit der Sequenznummer 22a, der Nachricht 22b und der 
Signatur 22c enthalt. Der soeben verwendete Signierschliis- 
sel 14 wird geloscht . 

Nunmehr wird der Datensatz 22 zu dem Empf anger 3 0 ubertra- 
gen, welcher damit einen Datensatz 22 1 erhalt, der wiederum 
drei Felder enthalt, die als Sequenznummer 22a», Nachricht 
22b 1 und Signatur 22c ■ angesehen werden, Ublicherweise wird 
dieser Datensatz bereits von anderen Sicherungs- Oder Plau- 
sibilitats-Mechanismen gegen Ubertragungsf ehler gesichert. 

Der Empf anger extrahiert aus dem empf angenen Datensatz 22 1 
die Sequenznummer 22a 1 und fiihrt diese zusammen mit dem 
Hauptschliissel li B einer Einweg-Verschlus slung 13' zu, die 
dieselbe wie die Einweg-Verschliisslung 13 in der Zentrale 
10 bzw. dazu f unktionsgleich ist. Am Ausgang der Einweg- 
Funktion entsteht ein Priif schliissel 14'. Dieser ist, wenn 
die Sequenznummer korrekt libertragen wurde, gleich dem Si- 
gnierschliissel 14, den der Absender 20 verwendet hat. Der 
Pruf schliissel 14 1 wird zusammen mit der eingetrof f enen 
Nachricht 22b 1 und der eingetrof f enen Signatur 22c 1 einem 
Signaturpriifer 3 8 zugefuhrt wird. Passen alle drei zueinan- 
der, erzeugt der Signaturpriifer 3 8 an seinem Ausgang ein 
Freigabesignal fur die Weiterverwendung der Nachricht, Der 
Pruf schliissel 14' wird, unabhangig von dem Ergebnis, mit 
AbschluE der Pruf ung vernichtet . 
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In einer Weiterbildung der Erfindung fiihrt der Empfanger 
eine Liste bereits benutzter Sequenzzahlen und weist Nach- 
richten mit bereits verwendeten Sequenzzahlen ab. Damit ist 
eine zusatzliche Sicherheit gegen MiSbrauch gegeben. 

s Da die die Sequenzzahl bevorzugt durch einen deterministi- 
schen Generator erzeugt wird, kann die Ubermittlung der Se- 
quenzzahl entfallen. Da ohnehin der gemeinsame Hauptschliis- 
sel in gesicherter Umgebung an den Empfanger ubertragen 
werden mufi, kann zugleich der Anfangswert des Generators 

10 ubertragen werden. Mit jeder empfangenen Nachricht erzeugt 
der Empfanger einen neuen Wert fur die Sequenzzahl und bil- 
det damit den Priif schliissel 14 1 , ohne daE die Sequenzzahl 
mit ubertragen werden mufi. Um robust gegeniiber Doppeluber- 
tragungen und verlorene Nachrichten zu sein, wird dann 

is zweckmafiig auch einer der letzten und folgenden Sequenzah- 
len mit verwendet werden. Auch hier kann die Zentrale dem 
Absender mehrere Signierschliissel 14 bereitstellen, die 
dann vom Absender in der vorgegebenen Reihenfolge verwendet 
werden sollen. 

20 Eine mogliche Anwendung der Erfindung liegt auf dem Gebiet 
der Geldausgabeautomaten. Die Zentrale ist dabei die Ban- 
kenzentrale, die fur die Prufung der PIN einen Haupt schliis- 
sel verwendet und an den Hersteller von Geldautomaten in 
der Zentrale personalisierte Prufmoduln liefert. Als Absen- 

25 der kommt ein Hersteller oder eine lokale Bankenorgansation 
in Betracht, die beispielsweise einen Umrechnungskurs oder 
einen Rabattsatz in den Geldausgabeautmaten laden mochte; 
aber weder einen eigenen geheimen Schliissel in den Geldau- 
tomaten einbrigen kann noch einen eigenen Sicherheitsmodul 

30 einbauen mochte. 
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Falls kein nichtf liichtiger Speicher im Empf anger vorhanden 
ist, kann der Empf anger auch die Seguenzzahlen von Anfang 
erzeugen und mit jeder die Signatur verproben. Der Verlust 
an Sicherheit ist dabei gering, jedoch ist keine Sicherhiet 
5 gegen Doppelbenutzung gegeben. 
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Patentanspruche 

1. Verfahren zur Signierung einer Nachricht (22) durch ei- 
nen Absender (20) und Priifung der Signatur durch einen 
Empf anger, wobei eine Zentrale (10) und ein Empf anger 
(3 0) iiber einen geheimen gemeinsamen Hauptschliissel 
(11, 11') verfiigen, mit den Merkmalen: 

- Die Zentrale (10) 

* erzeugt eine Sequenzzahl (12) und 

* aus dieser unter Verwendung des Hauptschliissel s 
(11) mittels einer Einweg-Verschliisslung (13) einen 
Signierschlussel ( 14 ) und 

* stellt dem Absender den Signierschlussel (14) be- 
reit ; 

- der Absender (20) 

* bildet mittels des Signierschliissels (14) eine Si- 
gnatur (22c) iiber die Nachricht (21, 22c) und 

* sendet an den Empf anger einen Nachrichtensatz (22) , 
der zumindest die Nachricht (22b) und die Signatur 
(22c) , enthalt . 

- Der Empf anger (30) 

* bestimmt die Sequenzzahl (22a 1 ), 

* bildet den mittels der Einweg-Verschliisslung (13') 
und dem Hauptschliissel (ll 1 ) einen Priif schliissel 

( 14 1 ) und 

* priif t damit die Signatur (22c) der Nachricht - 

2. Verfahren nach Anspruch 1, wobei die Sequenzzahl (12, 
22a, 22a') zusammen mit dem Signierschlussel (14) von 
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der Zentrale an den Absender (2 0) ubergeben und von 
diesem iiber den Datensatz (22, 22 1 ) an den Empf anger 
ubergeben wird. 

3. Verfahren nach Anspruch 1, wobei die Sequenzzahl (12) 
s durch einen Generator synchron zu der Anzahl der ver- 

wendeten Signier- bzw. Priif schliissel in der Zentrale 
(10) und bei dem Empf anger erzeugt wird. 

4. Verfahren nach Anspruch 1, wobei die Sequenzzahl (12) 
durch einen Generator synchron zu der Anzahl der ver- 

10 wendeten Signier- bzw. Priif schliissel in der Zentrale 

(10) und bei dem Absender erzeugt und iiber den Daten- 
satz (22, 22 1 ) an den Empf anger ubergeben wird. 

5. Verfahren nach einem der vorhergehenden Anspriiche, wo- 
bei die Sequenzzahl durch einen Generator fur Pseudo- 

is Zuf allszahlen erzeugt wird. 

6. Verfahren nach einem der vorhergehenden Anspriiche, wo- 
bei als Einweg-Verschliisslung die Verschliisselung der 
Sequenzzahl mittels des Hauptschliissels verwendet wird. 

7. Verfahren nach einem der vorhergehenden Anspriiche, wo- 
20 bei die Zentrale (10) vorab mehrere Signierschliissel 

(14) erzeugt und diese, ggf . gemeinsam mit den zugeho- 
rigen Sequenzzahlen (12), an den Absender (30) iibermit- 
telt . 

8. Verfahren nach einem der vorhergehenden Anspriiche, wo- 
25 bei der Empf anger (30) eine Liste bereits verwendeter 

Sequenzzahlen fiihrt und bereits verwendete Sequenzzah- 
len abweist . 



WO 00/67422 



PCT/DE00/01086 



11 

9. Einrichtung zur Signierung einer Nachricht (22, 22'), 
die von einem Absender (2 0) an einen Empf anger (3 0) ge- 
schickt wird, mit den Merkmalen: 

- Eine Zentrale (10) und der Empf anger (3 0) verftigen 
s iiber einen erst en und zweiten Speicher fur einen ge- 

heimen gemeinsamen Hauptschliissel (11, ll 1 ); 

- in der Zentrale (10) ist ein erster Einweg- 
Verschliissler (13) an einem Eingang mit dem ersten 
geschiitzten Speicher (11) , an einem anderen Eingang 

10 mit einem Generator (12) fur eine Sequenzzahl verbun- 

den, 

- der Ausgang des Einweg-Verschliisslers (13) ist iiber 
ein Transportmedium mit dem Absender (20) verbunden, 

- beim Absender ist ein Signatur-Generator (24) vorge- 
15 sehen, dessen Eingange mit dem Ausgang des Einweg- 
Verschliisslers und der zu signierenden Nachricht (21, 
22b) verbunden sind, 

- der Ausgang des Signatur- Generators (24) ist mit ei- 
ner Einrichtung verbunden, die mindestens die Signa- 

20 tur (22c) und die Nachricht (22b) zu einem Nachrich- 

tenblock (22) assembliert und deren Ausgang iiber ein 
Transportmedium mit dem Empf anger (30) verbunden ist, 

- im Empf anger ist ein Signatur-Priif er (22 1 ) vorgese- 
hen, an dessen Eingange einerseits mit der Nachricht 

25 (22b 1 ) und der Signatur (22c 1 ) des iiber das Trans- 

portmedium eingetrof f enen Nachrichtenblocks (22 1 ) , 

- andererseits mit dem Ausgang eines zweiten Einweg- 
Verschliisslers (13') verbunden ist, dessen Eingange 
einerseits mit dem zweiten Speicher (ll 1 ) fur den ge- 
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heimen Hauptschliissel und mit einem Mittel zur Be- 
reitstellung einer Sequenznummer (22a 1 ) verbunden 
ist . 

10. Einrichtung nach Anspruch 9, wobei ein Generator die 
s Sequenzzahl (22a 1 ) nach einem deterministischen Verfah- 

ren ein oder meherere Sequenzzahlen entsprechend der 
Anzahl der Priif ungen erzeugt . 
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